Censys warnt, dass über 1,5 Millionen Exim-Mail-Transfer-Agent (MTA)-Instanzen eine kritische Sicherheitslücke aufweisen, die es Angreifern ermöglicht, Sicherheitsfilter zu umgehen.
Als CVE-2024-39929 gekennzeichnet und von den Exim-Entwicklern am Mittwoch behoben, betrifft die Sicherheitslücke Exim-Versionen bis einschließlich 4.97.1.
Die Schwachstelle resultiert aus der fehlerhaften Verarbeitung von mehrzeiligen RFC2231-Header-Dateinamen, wodurch entfernte Angreifer bösartige ausführbare Anhänge in die Mailboxen der Endbenutzer einschleusen können, indem sie den $mime_filename-Erweiterungs-Blockierschutzmechanismus umgehen.
„Wenn ein Benutzer eine dieser bösartigen Dateien herunterlädt oder ausführt, könnte das System kompromittiert werden“, warnte Censys und fügte hinzu: „Ein PoC ist verfügbar, aber bisher ist keine aktive Ausnutzung bekannt.“
„Ab dem 10. Juli 2024 beobachtet Censys 1.567.109 öffentlich exponierte Exim-Server, die potenziell eine anfällige Version (4.97.1 oder früher) ausführen, vor allem in den USA, Russland und Kanada“, fügte das Unternehmen hinzu.
Zwar müssen E-Mail-Empfänger den bösartigen Anhang noch ausführen, um betroffen zu sein, aber die Schwachstelle ermöglicht es Angreifern, Sicherheitsüberprüfungen basierend auf Dateierweiterungen zu umgehen. Dies erlaubt ihnen, riskante Dateien, die normalerweise blockiert werden, wie z. B. ausführbare Dateien, in die Mailboxen ihrer Ziele zu liefern.
Administratoren, die Exim nicht sofort aktualisieren können, wird empfohlen, den Remote-Zugriff auf ihre Server vom Internet zu beschränken, um eingehende Ausnutzungsversuche zu blockieren.
Millionen von Servern online exponiert
MTA-Server wie Exim sind häufig Ziel von Angriffen, da sie fast immer über das Internet zugänglich sind, was es einfach macht, potenzielle Eintrittspunkte in ein Zielnetzwerk zu finden.
Exim ist auch der Standard-MTA von Debian Linux und die weltweit am häufigsten genutzte MTA-Software, basierend auf einer Umfrage von Mail-Servern Anfang dieses Monats.
Laut der Umfrage liefen über 59 % der 409.255 über das Internet erreichbaren Mail-Server mit Exim, was etwas mehr als 241.000 Exim-Instanzen entspricht.
Eine Shodan-Suche ergab zudem, dass über 3,3 Millionen Exim-Server derzeit online exponiert sind, die meisten in den USA, gefolgt von Russland und den Niederlanden. Censys fand 6.540.044 öffentlich zugängliche Mail-Server online, von denen 4.830.719 (etwa 74 %) Exim verwenden.
Die National Security Agency (NSA) enthüllte im Mai 2020, dass die berüchtigte russische Hackergruppe Sandworm eine kritische Exim-Schwachstelle (CVE-2019-10149) seit mindestens August 2019 ausnutzt.
Erst kürzlich, im Oktober, haben die Exim-Entwickler drei Zero-Days gepatcht, die über Trend Micros Zero Day Initiative (ZDI) offengelegt wurden, von denen eine (CVE-2023-42115) Millionen von Exim-Servern mit Internetzugang für Pre-Auth-RCE-Angriffe verwundbar machte.
Die Entdeckung dieser kritischen Exim-Schwachstelle unterstreicht die Bedeutung regelmäßiger Updates und Sicherheitsüberprüfungen. Administratoren sollten ihre Exim-Installationen umgehend auf die neueste Version aktualisieren und zusätzliche Schutzmaßnahmen ergreifen, um ihre Systeme vor potenziellen Angriffen zu schützen.